图像形成装置及其安全管理模块的固件升级方法与流程

本发明涉及图像形成技术领域，具体涉及一种图像形成装置及其安全管理模块的固件升级方法。

背景技术：

随着成像技术的发展，图像形成装置越来越多应用在办公和日常生活中，常见的图像形成装置包括但不限于打印机、复印机、扫描仪、传真机或综合打印、复印、扫描、传真功能中一种或者多种的多功能事务机。现有技术中，图像形成装置为了使信息安全更加可控，会设置安全管理芯片对图像形成装置的运行进行全程监控，安全存储芯片内部存储有安全管理固件，有需要时可能会对安全管理固件进行升级，而在对安全管理芯片的固件进行升级的时候，数据容易被篡改，导致数据的安全性受到威胁。

技术实现要素：

本发明实施例提供一种图像形成装置、安全管理模块的固件升级方法及存储介质，能够解决对安全管理模块的固件进行升级时存在的安全隐患问题。

第一方面，本发明实施例提供了一种图像形成装置，包括成像控制模块及安全管理模块；

所述成像控制模块被配置为当第一设备向其发送固件升级包时，在获得所述安全管理模块的授权信息后才接收所述固件升级包，并将接收到的所述固件升级包发送给所述安全管理模块，其中，所述固件升级包为供所述安全管理模块运行的固件升级包；

所述安全管理模块被配置为在所述成像控制模块接收所述第一设备发送的固件升级包前对所述成像控制模块进行监控，当确认所述成像控制模块符合预设的安全条件时发送所述授权信息至所述成像控制模块，以及接收所述成像控制模块发送的固件升级包，并将所述固件升级包存储至存储器中，其中，所述存储器被配置为存放所述安全管理模块的运行固件。

可选地，所述成像控制模块通过其usb接口将所述固件升级包发送给所述安全管理模块。

可选地，所述成像控制模块还被配置为在将所述固件升级包发送给所述安全管理模块前，控制所述安全管理模块的运行状态返回至引导状态，且控制所述引导状态至少维持到所述安全管理模块接收所述固件升级包成功后。

可选地，所述安全管理模块包括第一接口，当所述安全管理模块还被配置为当其为非引导状态时，若所述第一接口接收到第一预定电平信号时，所述安全管理模块的运行状态返回引导状态；

所述成像控制模块通过发送所述第一预定电平信号至所述第一接口，使得所述安全管理模块的运行状态返回引导状态。

可选地，所述安全管理模块通过其通讯接口向所述安全管理模块发送引导状态返回指令使得所述安全管理模块的运行状态返回引导状态。

可选地，所述安全管理模块与所述成像控制模块的复位端口连接，所述安全管理模块还被配置为在其为引导状态时控制所述成像控制模块的复位信号维持有效，所述成像控制模块还被配置为在其控制所述安全管理模块返回引导状态前解除所述安全管理模块对所述成像控制模块的复位信号的控制，使得所述安全管理模块在所述成像控制模块的控制下变为引导状态后，所述成像控制模块不进行复位。

可选地，还包括模拟开关电路，所述模拟开关电路连接于所述成像控制模块的复位端口与所述安全管理模块之间，所述成像控制模块通过控制所述模拟开关电路断开来解除所述安全管理模块对所述成像控制模块复位信号的控制。

可选地，所述模拟开关电路包括第一开关、第一电阻、第二电阻、第三电阻、第一电压源及第二电压源，所述成像控制模块还包括第一端口，所述安全管理模块还包括第二接口，所述第一开关的第一端通过第一电阻与所述第一端口连接以及依次通过所述第一电阻及所述第二电阻与所述第一电压源连接，所述第一开关的第二端与所述安全管理模块的第二接口连接以及通过第三电阻与所述第二电压源连接，所述第一开关的第三端与所述成像控制模块的复位端口连接；

当所述成像控制模块的第一端口发送第二预定电平信号至所述第一开关的第一端时，所述第一开关的第二端与第三端之间断开。

可选地，还包括初始状态控制电路，其中，所述初始状态控制电路连接于所述安全管理模块的第二接口与所述模拟开关电路之间，所述安全管理模块通过所述初始状态控制电路使得所述成像控制模块的复位信号在所述安全管理模块处于引导状态时维持有效。

第二方面，本发明实施例提供了一种图像形成装置的安全管理模块的固件升级方法，所述方法包括：

第一设备向成像控制模块发送固件升级包，其中，所述固件升级包为供所述安全管理模块运行的固件升级包；

所述安全管理模块对所述成像控制模块进行监控，当判断所述成像控制模块符合预设的安全条件时，向所述成像控制模块发送授权信息；

成像控制模块获取所述授权信息后接收所述第一设备发送的固件升级包并将接收到的所述固件升级包发送给所述安全管理模块；

所述安全管理模块将接收到的固件升级包存储至存储器中，其中，所述存储器被配置为存放所述安全管理模块运行的固件。

可选地，所述成像控制模块通过其usb接口将所述固件升级包发送给所述安全管理模块。

可选地，在所述成像控制模块将所述固件升级包发送给所述安全管理模块前，所述方法还包括：

所述成像控制模块控制所述安全管理模块的运行状态变为引导状态，且控制所述引导状态至少维持到所述安全管理模块接收所述固件升级包成功后。

可选地，所述安全管理模块包括第一接口，所述成像控制模块通过发送第一预定电平信号至所述第一接口，使得所述安全管理模块的运行状态变为引导状态。

可选地，所述安全管理模块通过其通讯接口向所述安全管理模块发送引导状态返回指令，使得所述安全管理模块的运行状态返回引导状态。

可选地，在所述成像控制模块将所述安全管理模块的运行状态返回至引导状态前，所述方法还包括：所述成像控制模块解除所述安全管理模块对所述成像控制模块复位信号的控制。

第三方面，本发明实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述方法。

第四方面，本发明实施例提供了一种图像形成装置，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，所述程序指令被处理器加载并执行时实现上述方法的步骤。

可以理解，当需要对安全管理模块的运行固件进行升级时，不采用通过安全管理模块直接接受固件的方式进行固件升级，而是通过成像控制模块先接受固件升级包再将固件升级包发送给安全管理模块的方式对安全管理模块的固件进行升级，由于成像控制模块及其对应的运行活动在各个阶段都受到安全管理模块的监控，因此，采用上述方式可以有效的避免固件包被不法分子随意的更改，保证了安全芯片所运行的固件的安全性。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明实施例提供的一种图像形成装置的示意性框图；

图2为本发明实施例提供的一种图像形成装置进一步的示意性框图；

图3为本发明实施例提供的一种图像形成装置的电路图；

图4为本发明另一实施例提供的图像形成装置的电路图；

图5为本发明实施例提供的一种图像形成装置的安全管理模块的固件升级方法的流程图；

图6为本发明实施例提供的图像形成装置的示意性框图。

具体实施例

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

请参阅附图1，本发明实施例提供一种图像形成装置，图像形成装置表示在例如打印纸的记录介质上打印例如由计算机产生的打印数据的装置。图像形成装置的例子包括复印机、打印机、传真机、扫描仪以及在单个设备中执行以上功能的多功能外设。该图像形成装置包括成像控制模块1及安全管理模块2。

成像控制模块1被配置为当第一设备3向其发送固件升级包时，在获得安全管理模块2的授权信息后才接收固件升级包，并将接收到的固件升级包发送给安全管理模块2，其中，固件升级包为供安全管理模块2运行的固件升级包。

安全管理模块2被配置为在成像控制模块1接收第一设备3发送的固件升级包前对成像控制模块1进行监控，当确认成像控制模块1符合预设的安全条件时发送授权信息至成像控制模块1，以及接收成像控制模块1发送的固件升级包，并将固件升级包存储至存储器中，其中，存储器被配置为存放安全管理模块2的运行固件。

可以理解，当需要对安全管理模块2的运行固件进行升级时，不采用通过安全管理模块2直接接收固件的方式进行固件升级，而是通过成像控制模块1先接收固件升级包再将固件升级包发送给安全管理模块2的方式对安全管理模块2的固件进行升级，由于成像控制模块1及其对应的运行活动在各个阶段都受到安全管理模块2的监控，因此，采用上述方式可以有效的避免固件升级包被不法分子随意的更改，保证了安全芯片所运行的固件的安全性。

下面对本发明提供的图像形成装置及其组成部分及工作原理进行详细的说明。

成像控制模块1，例如soc(systemonchip，片上系统)，被配置为控制图像形成装置的成像处理操作；成像控制模块1用于执行数据收发、命令收发、引擎控制相关的处理操作，例如，如何通过应用程序调用接口单元(包括但不限于usb端口、有线网络端口、无线网络端口等)来收发数据、命令、状态等，还可以通过应用程序获得接收的打印参数，并解析为控制引擎机构执行特定功能的命令，例如，lsu曝光参数、拾纸辊转动参数等；另外，对于有用户权限认证或者加密/解密处理功能的图像形成装置，成像控制模块1还设置成能够执行用户权限认证或者加密/解密处理功能；而图像形成装置中的接口单元还能够接收来自驱动装置的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等，以及安全管理模块2与外部安全监控服务器交换预定安全规则、日志等信息。

安全管理模块2(又称可信计算监管模块)，例如安全芯片，用于监控图像形成装置中成像控制模块1对应的运行活动；安全管理模块2中的可信计算(trustedcomputing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全；为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的可信计算监管模块对应的功能模块包括四种功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、审计功能、升级监控功能；可信计算监管模块的具体实现方式可以是硬件(例如安全芯片)，也可以是软件(例如带有上述四个中功能的程序代码)，还可以是软硬件结合的方式(例如安全芯片结合安全代码)；以程序代码实现方式为例：安全管理模块2包括驱动层监管程序和应用层监管程序；其中，驱动层监管程序负责监管图像形成装置操作系统(例如linux系统)的驱动层模块，应用层监管程序负责监管图像形成装置的应用层程序，可信计算监管程序只允许运行白名单范围内的驱动和程序；非白名单范围内的驱动和程序不允许运行；可信计算监管程序会记录或上报图像形成装置上发生的安全事件行为；这样可信计算监管程序对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止应用程序和设备驱动的不安全行为。

第一设备3可以是pc(personalcomputer，个人计算机)、平板电脑、手机等具有收发信息功能的设备，在本实施方式，第一设备3为计算机。

存储器为安全管理模块2内置的存储器，是一种非易失性存储器，例如norflash(闪存)、nandflash(闪存)、eeprom(可擦除的可编程只读存储器)、fram(铁电存储器)，mram(磁性ram)和nvsram(非易失性静态存储器)等。

请参阅附图2，成像控制模块1分别与第一设备3和安全管理模块2连接，在本实施方式中，成像控制模块1通过usb(universalserialbus，通用串行总线)接口(如图2所示的host接口)与安全管理模块2的usb接口(如图2所示的usb接口)连接，用于将固件升级包发送给安全管理模块2，成像控制模块1还通过其它的usb接口(如图2所示的usbdevice接口)与第一设备3(例如计算机)连接，用于接收第一设备3发送的固件升级包。可以理解，成像控制模块1通过usb接口实现固件的收发，无需占用成像控制模块1的spi(serialperipheralinterface，串行外设接口)或者i2c(inter－integratedcircuit)等类型接口的资源，最大化的利用了接口资源。

可选地，为了提高固件升级的可靠性，安全管理模块2被配置为只有在引导状态时才能进行固件升级，成像控制模块1还被配置为在将固件升级包发送给安全管理模块2前，控制安全管理模块2的运行状态返回至引导状态，且控制引导状态至少维持到安全管理模块2接收固件升级包成功后。

安全管理模块2包括第一接口，当安全管理模块2还被配置为当其为非引导状态时，若第一接口接收到第一预定电平信号时，安全管理模块2的运行状态返回引导状态。

基于以上说明，可选地，成像控制模块1控制安全管理模块2的运行状态返回至引导状态可以通过如下方式实现：

方式一：成像控制模块1通过发送第一预定电平信号至第一接口，使得安全管理模块2的运行状态返回引导状态。

具体地，请参阅附图3，在本实施方式中，第一预定电平信号为低电平信号，成像控制模块1及安全管理模块2还包括gpio2接口，成像控制模块1的gpio2接口与安全管理模块2的gpio2接口连接，在成像控制模块1获得安全管理模块2的授权信息后，在成像控制模块1将接收到的固件升级包发送给安全管理模块2前，成像控制模块1的gpio2接口发送低电平信号至安全管理模块2的gpio2接口，使得安全管理模块2回到引导状态(boot状态)，然后成像控制模块1再将固件升级包发送给安全管理模块2，安全管理模块2将接收到的固件升级包存储于其内部的存储器中，以完成固件升级。

方式二：安全管理模块2通过其通讯接口向安全管理模块2发送引导状态返回指令使得安全管理模块2的运行状态返回引导状态。

具体地，请参阅附图4，在本实施方式中，通讯接口具体为spi接口，如图4所示，成像控制模块1通过1条spi总线与安全管理模块2建立连接，该spi总线用于实现安全管理模块2对成像控制模块1的动态度量及安全管理模块2与成像控制模块1之间控制指令(例如引导状态返回指令)的传输。

进一步地，安全管理模块2与成像控制模块1的复位端口连接，安全管理模块2还被配置为在其为引导状态时控制成像控制模块1的复位信号维持有效。需要理解的是，通过安全管理模块2还被配置为在其为引导状态时控制成像控制模块1的复位信号维持有效，使得在安全芯片进入程序运行状态前使得成像控制模块1一直处于复位状态，进而实现安全管理模块2对成像控制模块1的全程进行监控。而当成像控制模块1控制安全管理模块2进入引导状态后，安全管理模块2会控制成像控制模块1复位，此时，成像控制模块1无法对安全管理模块2的固件进行升级，正因如此，成像控制模块1还被配置为在其控制安全管理模块2返回引导状态前解除安全管理模块2对成像控制模块1的复位信号的控制，使得安全管理模块2在成像控制模块1的控制下变为引导状态后，成像控制模块1不进行复位，以使得成像控制模块1能够执行将固件升级包发送给安全管理模块2的操作，实现对对安全管理模块2的固件进行升级。

进一步地，请再次参见附图2至附图4，图像形成装置还包括模拟开关电路4，模拟开关电路4连接于成像控制模块1的复位端(如附图3中的reset#)与安全管理模块2之间，成像控制模块1通过控制模拟开关电路4断开来解除安全管理模块2对成像控制模块1复位信号的控制，需要说明的是，在默认的情况下，模拟开关电路4为导通状态。

具体地，模拟开关电路4包括第一开关q1、第一电阻r1、第二电阻r2、第三电阻r3、第一电压源(+3.3v)及第二电压源(+3.3v)，成像控制模块1还包括第一端口(gpio49端口)，安全管理模块2还包括第二接口(gpio4接口)，第一开关q1的第一端通过第一电阻r1与第一端口连接以及依次通过第一电阻r1及第二电阻r2与第一电压源连接，第一开关q1的第二端与安全管理模块2的第二接口连接以及通过第三电阻r3与第二电压源连接，第一开关q1的第三端与成像控制模块1的复位端口连接；当成像控制模块1的第一端口发送第二预定电平信号至第一开关q1的第一端时，第一开关q1的第二端与第三端之间断开。

更具体地，第一开关q1包括mos(metalo-xide-semiconductor，金属-氧化物-半导体场效应晶体管)，mos管的栅极、源极及漏极分别对应于第一开关q1的第一端、第二端及第三端。在本实施方式中，第一开关q1可以是n型mos管，容易理解的是，当第一开关q1为n型mos管时，第一开关q1的栅极受到第一电压源(+3.3v)的控制，处于导通状态，根据n形mos管的特性，若成像控制模块1的gpio49端口发送低电平信号至模拟开关电路4的栅极，使得模拟开关电路4的源极及漏极断开。需要知道的是，模拟开关电路4不限于mos管，还可以是其他的半导体器件，在此不一一列举。

进一步地，请再次参阅附图3，图像形成装置还包括初始状态控制电路5，其中，初始状态控制电路5连接于安全管理模块2的第二接口(gpio4接口)与模拟开关电路4之间，安全管理模块2通过初始状态控制电路5使得成像控制模块1的复位信号在安全管理模块2处于引导状态时维持有效。

具体地，初始状态控制电路5包括第一三极管q2、第四电阻r4、第五电阻r5及第三电压源(+3.3v)，第一三极管q2的基极通过第四电阻r4及第五电阻r5与第三电压源连接，第一三极管q2的基极还通过第四电阻r4与安全管理模块2的第二接口(gpio4接口)连接，第一三极管q2的集电极与模拟开关电路4的模拟开关电路4的第二端连接，第一三极管q2的发射极接地。

进一步地，请再次参见附图3，图像形成装置还包括rc复位电路6，rc复位电路6连接于模拟开关电路4与成像控制模块1的复位端之间，用于为成像控制模块1提供复位所需的时延，rc复位电路6包括第四电压源(+3.3v)、第六电阻r6及第一电容c1，其中，第四电压源通过第六电阻r6连接于模拟开关电路4的漏极与成像控制模块1的复位端之间，第一电容c1的第一端连接第六电阻r6，另一端接地。rc复位电路6是本领域技术人员的公知常识，其工作原理在此不再具体赘述。

请参阅附图5，本发明实施例提供一种图像形成装置的安全管理模块的固件升级方法，方法包括：

步骤s01：第一设备向成像控制模块发送固件升级包，其中，固件升级包为供安全管理模块运行的固件升级包。

步骤s02：安全管理模块对成像控制模块进行监控，当判断成像控制模块符合预设的安全条件时，向成像控制模块发送授权信息。

步骤s03：成像控制模块获取授权信息后接收第一设备发送的固件升级包并将接收到的固件升级包发送给安全管理模块。

步骤s04：安全管理模块将接收到的固件升级包存储至存储器中，其中，存储器被配置为存放安全管理模块运行的固件。

可以理解，当需要对安全管理模块的运行固件进行升级时，不采用通过安全管理模块直接接收固件的方式进行固件升级，而是通过成像控制模块先接收固件升级包再将固件升级包发送给安全管理模块的方式对安全管理模块的固件进行升级，由于成像控制模块及其对应的运行活动在各个阶段都受到安全管理模块的监控，因此，采用上述方式可以有效的避免固件升级包被不法分子随意的更改，保证了安全芯片所运行的固件的安全性。

下面对本实施例提供的图像形成装置的安全管理模块的固件升级方法的具体技术方案进行详细的说明。

结合附图2，首先，执行步骤s01：第一设备3向成像控制模块1发送固件升级包，其中，固件升级包为供安全管理模块2运行的固件升级包。

可选地，第一设备3可以是pc(personalcomputer，个人计算机)、平板电脑、手机等具有收发信息功能的第一设备3，在本实施方式，第一设备3为计算机，计算机可以通过usb接口向成像控制模块1发送固件升级包。

成像控制模块1，例如soc(systemonchip，片上系统)，被配置为控制图像形成装置的成像处理操作；成像控制模块1用于执行数据收发、命令收发、引擎控制相关的处理操作，例如，如何通过应用程序调用接口单元(包括但不限于usb端口、有线网络端口、无线网络端口等)来收发数据、命令、状态等，还可以通过应用程序获得接收的打印参数，并解析为控制引擎机构执行特定功能的命令，例如，lsu曝光参数、拾纸辊转动参数等；另外，对于有用户权限认证或者加密/解密处理功能的图像形成装置，成像控制模块1还设置成能够执行用户权限认证或者加密/解密处理功能；而图像形成装置中的接口单元还能够接收来自驱动装置的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等，以及安全管理模块2与外部安全监控服务器交换预定安全规则、日志等信息。

安全管理模块2(又称可信计算监管模块)，例如安全芯片，用于监控图像形成装置中成像控制模块1对应的运行活动；安全管理模块2中的可信计算(trustedcomputing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全；为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的可信计算监管模块对应的功能模块包括四种功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、审计功能、升级监控功能；可信计算监管模块的具体实现方式可以是硬件(例如安全芯片)，也可以是软件(例如带有上述四个中功能的程序代码)，还可以是软硬件结合的方式(例如安全芯片结合安全代码)；以程序代码实现方式为例：安全管理模块2包括驱动层监管程序和应用层监管程序；其中，驱动层监管程序负责监管图像形成装置操作系统(例如linux系统)的驱动层模块，应用层监管程序负责监管图像形成装置的应用层程序，可信计算监管程序只允许运行白名单范围内的驱动和程序；非白名单范围内的驱动和程序不允许运行；可信计算监管程序会记录或上报图像形成装置上发生的安全事件行为；这样可信计算监管程序对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止应用程序和设备驱动的不安全行为。

其次，执行步骤s02：安全管理模块2对成像控制模块1进行监控，当判断成像控制模块1符合预设的安全条件时，向成像控制模块1发送授权信息。

需要知道的是，安全管理模块2对成像控制模块1及其对应的运行活动进行检查与监控，只有当成像控制模块1及其对应的运行符合预设的安全条件时安全管理模块2才允许成像控制模块1执行且成像控制模块1的各个活动需要获得安全管理模块2的授权才允许执行，因此可以保证成像控制模块1的安全性。

其次，执行步骤s03：成像控制模块1获取授权信息后接收第一设备3发送的固件升级包并将接收到的固件升级包发送给安全管理模块2。

具体地，成像控制模块1通过usb接口与安全管理模块2的usb接口连接，可以理解，成像控制模块1通过usb接口实现固件的收发，无需占用成像控制模块1的spi(serialperipheralinterface，串行外设接口)或者i2c(inter－integratedcircuit)等类型接口的资源，最大化的利用了接口资源。

其次，执行步骤s04：安全管理模块2将接收到的固件升级包存储至存储器中，其中，存储器被配置为存放安全管理模块2运行的固件。

存储器为安全管理模块2内置的存储器，是一种非易失性存储器，例如norflash(闪存)、nandflash(闪存)、eeprom(可擦除的可编程只读存储器)、fram(铁电存储器)，mram(磁性ram)和nvsram(非易失性静态存储器)等。

可选地，为了提高固件升级的可靠性，安全管理模块2被配置为只有在引导状态时才能进行固件升级，因此，在步骤s04：成像控制模块1将固件升级包发送给安全管理模块2前，该方法还包括：成像控制模块1控制安全管理模块2的运行状态变为引导状态，且控制引导状态至少维持到安全管理模块2接收固件升级包成功后。

需要说明的是，安全管理模块2包括第一接口，当安全管理模块2还被配置为当其为非引导状态时，若第一接口接收到第一预定电平信号时，安全管理模块2的运行状态返回引导状态。

基于以上说明，可选地，成像控制模块1控制安全管理模块2的运行状态返回至引导状态可以通过如下方式实现：

方式一：成像控制模块1通过发送第一预定电平信号至第一接口，使得安全管理模块2的运行状态返回引导状态。

具体地，第一预定电平信号为低电平信号，在成像控制模块1获得安全管理模块2的授权信息后，在成像控制模块1将接收到的固件升级包发送给安全管理模块2前，成像控制模块1发送低电平信号至安全管理模块2，使得安全管理模块2回到引导状态，然后成像控制模块1再将固件升级包发送给安全管理模块2，安全管理模块2将接收到的固件升级包存储于其内部的存储器中，以完成固件升级。

方式二：安全管理模块2通过其通讯接口向安全管理模块2发送引导状态返回指令使得安全管理模块2的运行状态返回引导状态。

具体地，通讯接口为spi接口，成像控制模块1通过1条spi总线与安全管理模块2建立连接，该spi总线用于实现安全管理模块2对成像控制模块1的动态度量及安全管理模块2与成像控制模块1之间控制指令(例如引导状态返回指令)的传输。

进一步地，在成像控制模块1将固件升级包发送给安全管理模块2前，该方法还可以包括：成像控制模块1解除安全管理模块2对成像控制模块1复位信号的控制。

需要理解的是，通过安全管理模块2还被配置为在其为引导状态时控制成像控制模块1的复位信号维持有效，使得在安全芯片进入程序运行状态前使得成像控制模块1一直处于复位状态，进而实现安全管理模块2对成像控制模块1的全程进行监控。而当成像控制模块1控制安全管理模块2进入引导状态后，安全管理模块2会控制成像控制模块1复位，此时，成像控制模块1无法对安全管理模块2的固件进行升级，正因如此，成像控制模块1还被配置为在其控制安全管理模块2返回引导状态前解除安全管理模块2对成像控制模块1的复位信号的控制，使得安全管理模块2在成像控制模块1的控制下变为引导状态后，成像控制模块1不进行复位，进而使得成像控制模块1能够执行将固件升级包发送给安全管理模块2的操作，实现对对安全管理模块2的固件进行升级。

本实施例提供一计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现实施例中图像形成装置的安全管理模块的固件升级方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器执行时实现实施例中图像形成装置中各模块/单元的功能，为避免重复，此处不一一赘述。

请参阅附图6，本发明实施例提供一种图像形成装置50，该实施例的图像形成装置50包括：处理器51、存储器52以及存储在存储器52中并可在处理器51上运行的程序53，该程序53被处理器51执行时实现实施例中的图像形成装置的安全管理模块2的固件升级方法，为避免重复，此处不一一赘述。

图像形成装置50可包括但不仅限于处理器51、存储器52。本领域技术人员可以理解，图6仅仅是图像形成装置50的示例，并不构成对图像形成装置50的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如电子设备还可以包括输入输出设备、网络接入设备、总线等。

处理器51可以是中央处理单元(centralprocessingunit，cpu)，还可以是其它通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本发明各个实施例方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。